{"id":1780,"date":"2023-04-11T12:05:49","date_gmt":"2023-04-11T15:05:49","guid":{"rendered":"https:\/\/itconnect.lat\/portal\/?p=1780"},"modified":"2025-06-13T12:07:53","modified_gmt":"2025-06-13T15:07:53","slug":"adobe-acrobat-sign-001","status":"publish","type":"post","link":"https:\/\/itconnect.lat\/portal\/adobe-acrobat-sign-001\/","title":{"rendered":"Adobe Acrobat Sign:una herramienta para distribuir malware en 2023"},"content":{"rendered":"

\u00bfQu\u00e9 pasar\u00eda si un atacante consiguiera que una empresa conocida distribuyera un correo electr\u00f3nico bajo el nombre de la misma, utilizando Adobe Acrobat Sign?<\/h2>\n

Los actores maliciosos llevan d\u00e9cadas distribuyendo malware a trav\u00e9s del correo electr\u00f3nico. Con el tiempo, la tecnolog\u00eda de seguridad ha evolucionado y mejorado mucho, dificultando esta tarea a los ciberdelincuentes. Hace veinte a\u00f1os, fuimos testigos de la frecuente distribuci\u00f3n de gusanos por correo electr\u00f3nico, que provocaron una inundaci\u00f3n en las bandejas de entrada y un colapso en los servidores. Aunque la prevalencia de gusanos por correo electr\u00f3nico es mucho menor hoy en d\u00eda, el phishing por correo electr\u00f3nico es la nueva amenaza predominante a la que se enfrentan los usuarios en la actualidad, a pesar de que el correo electr\u00f3nico es una gran herramienta utilizada por la mayor\u00eda de los internautas.<\/p>\n

No s\u00f3lo han evolucionado los distintos mecanismos de protecci\u00f3n, sino que las personas tambi\u00e9n se han vuelto m\u00e1s conocedoras de la tecnolog\u00eda, lo que hace cada vez m\u00e1s dif\u00edcil enga\u00f1arlas. Sin embargo, no malinterprete: los ciberdelincuentes modernos son profesionales que viven de la ciberdelincuencia e invierten mucho en sus trucos (a veces los presentan en mensajes, que pasan por experimentados profesionales de la seguridad). En cualquier caso, no podemos subestimar la capacidad de estos ciberdelincuentes para llevar a cabo actividades maliciosas.<\/p>\n

\u00bfQu\u00e9 pasar\u00eda si un atacante consiguiera que una empresa conocida distribuyera un correo electr\u00f3nico bajo el nombre de la misma? \u00bfY si el \u00fanico enlace de ese correo llevar\u00e1 al lector a un sitio web perteneciente a la misma empresa? En este mensaje no hay remitentes sospechosos, ni URL sospechosas, ni inclusi\u00f3n de otros sitios web: todo es leg\u00edtimo. Lo m\u00e1s probable es que este tipo de correo electr\u00f3nico no s\u00f3lo eluda todas las capas de ciberseguridad, sino que tambi\u00e9n enga\u00f1e al usuario final.<\/p>\n

\u00bfC\u00f3mo utilizan esta innovadora t\u00e9cnica los ciberdelincuentes actuales?<\/p>\n

Adobe ofrece un servicio en la nube para firmar documentos en l\u00ednea, denominado Acrobat Sign, en el que los usuarios pueden registrarse y empezar a utilizarlo inmediatamente. Adobe Acrobat Sign permite a los usuarios registrados enviar una solicitud de firma de documentos a cualquier persona. Al hacerlo, se generar\u00e1 un correo electr\u00f3nico que se enviar\u00e1 a los destinatarios deseados. El correo electr\u00f3nico incluye un enlace al documento (que puede ser un PDF, un documento de Word, un archivo HTML, etc.), que se aloja en la propia Adobe.<\/p>\n

El remitente puede a\u00f1adir el texto que desea que se muestre en el correo electr\u00f3nico, un detalle importante ya que los ciberdelincuentes pueden abusar f\u00e1cilmente de \u00e9l.<\/p>\n

Este es uno de los mensajes que captur\u00f3 nuestro equipo:<\/p>\n

\"\"<\/p>\n

La direcci\u00f3n del remitente aparece como adobesign@adobesign.com<\/a>, que es una direcci\u00f3n de correo electr\u00f3nico leg\u00edtima.<\/p>\n

Cuando la v\u00edctima hace clic en el bot\u00f3n “Revisar y firmar”, es dirigido a una p\u00e1gina alojada en “”eu1.documents.adobe.com\/public\/<\/a>“, que es otra fuente leg\u00edtima perteneciente a Adobe. Como he mencionado anteriormente, las personas que utilizan este servicio pueden cargar una amplia variedad de tipos de archivos en Adobe Acrobat Sign, que se mostrar\u00e1n en el correo electr\u00f3nico con la opci\u00f3n de firmarlos.<\/p>\n

Los ciberdelincuentes incluyen texto con un enlace en un documento, lo que da a la v\u00edctima la idea de que ya ha le\u00eddo el contenido antes de firmarlo. Al hacer clic en el enlace, la v\u00edctima es redirigida a otro sitio web donde se le pide que introduzca un CAPTCHA codificado.<\/p>\n

\"\"<\/p>\n

Una vez introducido, se pedir\u00e1 a la v\u00edctima que descargue un archivo ZIP, que contiene una variante del troyano Redline dise\u00f1ada para robar contrase\u00f1as, carteras de criptomonedas y mucho m\u00e1s.<\/p>\n

En el ejemplo anterior, el objetivo del ataque tiene un canal de YouTube con cientos de miles de suscriptores, por lo que el tema del mensaje encaja muy bien con ese perfil. Afortunadamente, la v\u00edctima se dio cuenta de que hab\u00eda algo parecido al “phishing” en el mensaje y no hizo clic en el enlace.<\/p>\n

Sin embargo, no dispuesto a afrontar la derrota, el ciberdelincuente intent\u00f3 llevar a cabo el ataque de nuevo unos d\u00edas m\u00e1s tarde. Para aumentar las posibilidades de conseguir instalar el malware, tambi\u00e9n a\u00f1adieron otro enlace en el correo electr\u00f3nico enviado por Adobe.<\/p>\n

\"\"<\/p>\n

Al hacer clic en ese enlace, se cargar\u00e1 la siguiente p\u00e1gina en el navegador:<\/p>\n

\"\"<\/p>\n

Esta p\u00e1gina est\u00e1 alojada en dochub.com<\/a>, que es otra empresa que ofrece firma electr\u00f3nica de documentos. Sin embargo, si la v\u00edctima hace clic en el bot\u00f3n “Revisar y firmar” dentro del correo electr\u00f3nico, le llevar\u00e1 a Adobe y le mostrar\u00e1 el mismo documento para firmar (que tambi\u00e9n contiene el mismo enlace).<\/p>\n

\"Adobe
Adobe Acrobat Sign<\/figcaption><\/figure>\n

El enlace en los documentos cargados en dochub.com<\/a> y adobe.com<\/a> lleva a la v\u00edctima al mismo CAPTCHA (que est\u00e1 codificado):<\/p>\n

\"Adobe
Adobe Acrobat Sign<\/figcaption><\/figure>\n

Cuando se introduce correctamente, conduce a la v\u00edctima a la descarga del malware, que es otra variante del troyano Redline. En este caso, el archivo ZIP tambi\u00e9n conten\u00eda otros ejecutables no maliciosos pertenecientes al juego Grand Theft Auto V.<\/p>\n

Una de las caracter\u00edsticas de las dos variantes de Redline que estos ciberdelincuentes utilizaron en estos ataques es que aumentaron artificialmente el tama\u00f1o del troyano hasta m\u00e1s de 400 MB.<\/p>\n

Esto no lo nota la v\u00edctima durante la descarga porque el archivo est\u00e1 comprimido y la mayor parte de este tama\u00f1o artificial s\u00f3lo se ha rellenado con ceros. Se desconoce el motivo. Es posible que los ciberdelincuentes lo utilicen con la esperanza de eludir algunos motores antivirus, que pueden comportarse de forma diferente con archivos de gran tama\u00f1o.<\/p>\n

Este abuso de Adobe Acrobat Sign para distribuir malware es una nueva t\u00e9cnica utilizada por los atacantes, dirigida a una v\u00edctima espec\u00edfica. Nuestro equipo a\u00fan no ha detectado otros ataques que utilicen esta t\u00e9cnica.<\/p>\n

Sin embargo, tememos que pueda convertirse en una opci\u00f3n popular para los ciberdelincuentes en un futuro pr\u00f3ximo.<\/p>\n

Esto se debe a que puede evitar diferentes filtros antimalware, lo que aumenta sus posibilidades de llegar a las v\u00edctimas.<\/p>\n

En cualquier caso, ya nos hemos puesto en contacto con Adobe y dochub.com<\/a> y hemos compartido con ellos toda la informaci\u00f3n sobre el incidente.<\/p>\n

\u00bfC\u00f3mo protegerse?<\/h3>\n